PIA oder DPIA…wie soll es heißen?

von Barbara Schmitz, veröffentlicht am 16.02.2017
Rechtsgebiete: Datenschutz-Folgeabschätzung5|8104 Aufrufe

Die Datenschutz-Folgenabschätzung scheint das Thema der Umsetzung der Datenschutzgrundverordnung schlechthin zu werden. Abgesehen davon, dass noch Unsicherheit darüber besteht, welche Verarbeitungsform konkret betroffen ist, was eine „neue“ Technologie ist und wann mit einem hohen Risiko zu rechnen ist, besteht auch Irritation über die Begrifflichkeit.

Im Deutschen heißt es Datenschutz-Folgenabschätzung. Im Englischen wird dies mit Data Protection Impact Assessment vorgegeben.

In der Richtlinie 95/46 gibt es diese beiden Begriffe nicht. Die Beachtung „spezifischer Risiken“ ist jeweils in Artikel 20 der Richtlinie geregelt, die jeweils überschrieben sind mit „Vorabkontrolle“ bzw. „Prior checking“.

An der Begrifflichkeit wäre nichts bemerkenswertes, wenn wir nicht in der Vergangenheit schon eifrig mit dem Begriff Privacy Impact Assessment gearbeitet hätten. Einzug hat das PIA mit der Einführung von RFID-Systemen bereits 2009 gefunden. Ziel sollte es sein, einen sicherheits-technischen Standard zu schaffen (siehe PIA-Leitfaden des BSI).

In vielen Gesprächen und Vorträge über die Datenschutz-Folgenabschätzung wurden fast immer alle begrifflich möglichen Formen des englischen Begriffs benutzt. Einmal hieß es nur PIA, dann im gleichen Zusammenhang DPIA. Wobei das DPIA sowohl mit Data Protection Impact Assessment als auch mit Data Privacy Impact Assessment benannt wird.

Daher macht es aus meiner Sicht Sinn, die Frage nach der Begrifflichkeit zur Diskussion zu stellen, mit dem Ziel, ein einheitliches Verständnis für den Umgang mit der Datenschutz-Folgenabschätzung zu bekommen.

Erlauben Sie mir mein Verständnis von den zwei Begriffen kurz darzulegen:

Nach meinem Verständnis ist das PIA die Standard-Datenschutz-Prüfung aller geplanten Vorhaben. Anders ausgedrückt handelt es sich hierbei um die alltägliche Prüfung/Überlegung zur Datenschutzkonformität von Projekten/Vorhaben.

Das DPIA mit den Anforderungen aus Artikel 35 DSGVO kommt (erst) dann, wenn neue Technologien eingesetzt werden sollen und/oder an einem Punkt des Projekts erkennbar die Verarbeitung ein hohes Risiko birgt.

Was meinen Sie?

Diesen Beitrag per E-Mail weiterempfehlenDruckversion

Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben

5 Kommentare

Kommentare als Feed abonnieren

Liebe Frau Schmitz, dies ist in der Tat ein wichtiges Thema. Bei der Durchführung des DPIA stellen sich eine ganze Reihe von ungelösten Fragen. Zum Beispiel: das Material, das im Rahmen der DPIA gesammelt wird, und die dazu gehörden Berichte sind vermutlich in den USA im Wege der "Discovery" in Verfahren oder Zivilprozessen abgreifbar. Zwar gibt es in den USA meines Wissens keine dem DIPA nachgeformte Regel, aber die FTC hat z.B. erhebliche Prüfungsbefugnisse im Bereich "privacy by design." Die Datenschutzbehörden ind er EU dürften auch an dem Material interessiert sein, wenn es z.B. zu einem Bruch der Datensicherheit kommt. Ich bin gespannt, wie Unternehmen diese Gratwanderung hinbekommen ohne abzustürzen.

Nun also - als ich Kind und Jugendlicher war und noch nicht gelöscht wurde, weil in einem damals freien Land mit Meinungsfreiheit - , da gingen oft ein oder als Doppelstreife zwei Polizisten zu Fuß durch Vorort der Gemeinde oder die Stadt.  In nach heutigem Karlsruher Weistum grundrechtsbeeinträchtigender Weise  sahen sie Menschen, erkannten sie als Menschen  - damals grüßten Polizisten noch durch Handanlegen an die Dienstmütze - . Im Dorf erkannten sie auch grundrechtssbeenträchtigend manche ihnen Bekannte.  Wenn ihnen nichts Auffälliges auffiel, also etwa Schlägerei, plötzliches Wegrennen angesichts Uniformierter - , dann taten sie auch  nichts. Damit sind wir also bei vollendetem Verfassungsbruch heutiger Karlsruher Weisheit: sehen, erkennen, kurzzeitregistrieren, einschätzen - dass nichts Ordnungswidriges geschieht - und weiter gehen. Nunmehr weiß ich als Volljurist, warum es keine Streifen mehr gibt. Nach dem verfassungsbrecherischen Wahrnehmen soll ihnen nicht angesonnen werden, das verfassungsgebotene Löschen der Information zu praktizieren. Das ginge bei ihnen nur durch Komasaufen bis zum Gedächtnisverlust, die Kugel durch den Kopf einmal nicht als Alternative erwogen. Abgründe tun sich auf - sie hatten Oma Lidwina Meier mit Einkaufstüte gesehen und Paulinchen Pummelchen beim Hüpfen als Kind. Diese entsetzlichen Grundrechtseingriffe! Da freuen wir uns doch alle - ganz Deutschland als no-go-area. 

Wenn ich lese: "In vielen Gesprächen und Vorträge über die Datenschutz-Folgenabschätzung wurden fast immer alle begrifflich möglichen Formen des englischen Begriffs benutzt. Einmal hieß es nur PIA, dann im gleichen Zusammenhang DPIA. Wobei das DPIA sowohl mit Data ProtectionImpact Assessment als auch mit Data Privacy Impact Assessment benannt wird." Aaaaaaaaaaaaaah ja, eine gewisse poltisice Strömung hat ja soooooooooooooooooooooooooooooo Unrecht, wenn sie eine unziemliche Verballhornung der Deutschen Sprache in Deutschland wahrnimmt und korrigieren möchte! 

Zur Datenschutz-Folgeabschätzug empfehle ich sehr, die Überlegungen der Grüne zu einer WIRKLICH UMFASSENDEN Kostenabschätzung zu übernehmen: Beispel: "Zudem fehlen Personalaufwendungen der FMSA sowie Aufwendungen für externe Berater."  Siehe etwa  

https://www.gruene-bundestag.de/finanzkrise/kosten-der-bankenrettung-mindestens-68-milliarden-euro.html

13. Sept. 2018. Das Beste an Überlegungen, was ich seit Jahrzehnten gelesen habe. 

Kommentar hinzufügen